TTC-電信技術中心全球資訊網

日本內閣於2021年9月28日決議並發布令和3年版網路安全戰略（サイバーセキュリティ戦略），擬訂日本未來三年的全國性網路安全對策，作為配合數位廳成立後之數位變革方針，以強化網路安全防護能力與應對網路空間與實體空間高度融合之新常態社會。

日本網路安全戰略係由內閣官房下設之「內閣網路安全中心」（内閣サイバーセキュリティセンター，National Center of Incident readiness and Strategy for Cybersecurity, NISC），根據網路安全基本法（サイバーセキュリティ基本法），遵循五項基本原則所制定：第一、資訊自由流通：確保資訊發送過程免於遭受不當檢閱；第二、法制貫徹：針對網路環境制定適用法令；第三、開放性：促進公共參與、共享與創新；第四、自律性：在各種系統中落實自主管理；第五、協同合作：促成關鍵基礎設施相關單位協同合作，並根據國際形勢的變化，促進具有共同理念之國家與國際社會合作。

鑑於網路環境已成為經濟與社會之活動基礎，驅動並實現網路與現實高度融合的Society 5.0，網路安全戰略以提升經濟社會活力與永續發展、實現國民安全且安心生活之社會，以及維持國際社會和平及保障日本安全等作為目標，以下列三大主軸規劃施政方向：

• 同時推進數位轉型實踐與網路安全發展：於規劃和設計產品與服務系統之階段即確保網路安全，同步推動數位化進程以及網路安全保障工作，並培養民眾的網路安全意識。由於IT系統和數位技術將成為企業、產品和服務的附加價值來源，企業管理層若採取適當措施應對數位化帶來的風險及轉變，不僅有助於建構整體社會對網路安全的信任，亦可藉此提升企業價值。
• 以整體視角俯瞰促進連結及公共空間化的網路空間，確保其安全性：經由強化政府電腦緊急應變小組（Computer Emergency Response Team, CERT）和電腦資安事件應變小組（Computer Security Incident Response Team, CSIRT）之功能，俾利政府協調網路安全事件應對、防止與改善相關政策措施，並藉由驗證作為改進依據。針對雲端服務的普及化與供應鏈趨向複雜化，NISC建議運用網路空間提供相關業務和服務的業者，除了需檢視提供者和利用者間之一對一關係外，亦有必要以整體視角俯瞰整個供應鏈，強化風險管理相關機制。除此之外，也應從政府採購、關鍵基礎設施，乃至國際海底電纜等角度，保障IT系統和服務的可靠性。NISC強調，日本網路安全政策應由被動的網路安全防護，如透過利用自動化技術，持續審查和追蹤風險，轉換為積極預測與有效防禦網路攻擊，並將網路安全議題提升至國家安全層級，推進日本政府內部與他國間之網路威脅情報共享與交換機制。
• 以國家安全保障為觀點強化施政：於2021年網路安全戰略中，日本首度將中國、俄羅斯及北韓明確列為製造網路安全威脅的國家，並強調增強防衛省與自衛隊之網路安全防護能力，以鞏固國家於識別攻擊者及應變網路攻擊的強韌性。而為強化網路攻擊防禦對策，NISC建議由關鍵基礎設施事業、政府機關、資安產業及大學等組成之「網路安全協議會」（サイバーセキュリティ協議会）作為網路威脅情報共享之協調及應對中心。由於網路攻擊常以供應鏈中關聯企業為攻擊對象，為了鼓勵企業主動且即時向政府通報，網路安全協議會將負保密義務，於公布企業受害情事時，將採不具名方式表示。

NISC後續將制定全國性的國家CSIRT/CERT框架（ナショナルサート），以統籌政府機關資源，並負責收集、分析、評估和警報相關網路威脅情報，以及制定防止網路攻擊再次發生之相關政策。其他具體施策，則包括制定供應鏈管理指南及實施資訊系統安全性管理與評估計畫（Information System Security Management and Assessment Program, ISMAP），強化由面對網路攻擊至預防復發等政策措施之調和。